Μια νέα έκδοση macOS του LightSpy malware επεκτείνει την εμβέλεια του surveillance framework, το οποίο μέχρι τώρα ήταν κυρίως γνωστό για τη στόχευση συσκευών Android και iOS.
Το LightSpy είναι ένα modular surveillance framework που κλέβει διάφορα δεδομένα από τις συσκευές των χρηστών, συμπεριλαμβανομένων αρχείων, screenshots, δεδομένων τοποθεσίας, ηχογραφήσεων, πληροφοριών πληρωμής και δεδομένων από εφαρμογές ανταλλαγής μηνυμάτων και social media.
Οι επιτιθέμενοι πίσω από το LightSpy το χρησιμοποιούν σε επιθέσεις εναντίον στόχων στην περιοχή Ασίας-Ειρηνικού.
Σύμφωνα με μια νέα έκθεση της ThreatFabric, η νέα έκδοση macOS χρησιμοποιείται τουλάχιστον από τον Ιανουάριο του 2024. Ωστόσο, η λειτουργία του φαίνεται να περιορίζεται επί του παρόντος σε testing environments.
Δείτε επίσης: LightSpy iPhone spyware: Συνδέεται με τους hackers APT41;
Οι ερευνητές διείσδυσαν στον πίνακα ελέγχου του LightSpy, εκμεταλλευόμενοι μια εσφαλμένη διαμόρφωση που επέτρεπε μη εξουσιοδοτημένη πρόσβαση στo interface. Έτσι, κατάφεραν να αποκτήσουν πληροφορίες για τον τρόπο λειτουργίας του, την υποδομή και τις μολυσμένες συσκευές.
LightSpy malware: Εκμετάλλευση ευπαθειών για παραβίαση συστημάτων macOS
Οι επιτιθέμενοι εκμεταλλεύονται τις ευπάθειες WebKit CVE-2018-4233 και CVE-2018-4404 για να καταφέρουν να εκτελέσουν κώδικα μέσα στον Safari browser, στοχεύοντας στο macOS 10.13.3 και παλαιότερες εκδόσεις.
Πώς γίνεται η μόλυνση;
Αρχικά, παραδίδεται στη συσκευή ένα 64-bit MachO binary μεταμφιεσμένο σε αρχείο εικόνας PNG (“20004312341.png”). Αποκρυπτογραφεί και εκτελεί ενσωματωμένα scripts που ανακτούν payload δεύτερου σταδίου.
Το payload δεύτερου σταδίου κατεβάζει ένα privilege escalation exploit (“ssudo”), ένα βοηθητικό πρόγραμμα κρυπτογράφησης/αποκρυπτογράφησης (“ddss”) και ένα αρχείο ZIP (“mac.zip”) που περιέχει δύο εκτελέσιμα αρχεία (“update” και “update.plist” ).
Τελικά, το shell script αποκρυπτογραφεί και αποσυσκευάζει αυτά τα αρχεία, αποκτώντας πρόσβαση root στη συσκευή και καθιερώνοντας persistence στο σύστημα ρυθμίζοντας το “update” binary, ώστε να εκτελείται κατά την εκκίνηση.
Το επόμενο βήμα εκτελείται από ένα στοιχείο που ονομάζεται “macircloader“, το οποίο κατεβάζει, αποκρυπτογραφεί και εκτελεί το LightSpy Core.
Αυτό λειτουργεί ως το κεντρικό σύστημα διαχείρισης για το LightSpy spyware framework και είναι υπεύθυνο για τις επικοινωνίες με τον διακομιστή εντολών και ελέγχου (C2). Το LightSpy core εκτελεί, επίσης, shell commands στη συσκευή.
Δείτε επίσης: Το LightSpy malware στοχεύει ενεργά συσκευές MacOS
LightSpy plugins
Το LightSpy malware επεκτείνει τη λειτουργία κατασκοπείας χρησιμοποιώντας διάφορα plugins, που είναι υπεύθυνα για διαφορετικές ενέργειες.
Αυτή η νέα έκδοση macOS του LightSpy χρησιμοποιεί δέκα plugins:
soundrecord: Καταγράφει ήχο από το μικρόφωνο.
ScreenRecorder: Καταγράφει τη δραστηριότητα της οθόνης της συσκευής.
browser: Εξάγει δεδομένα περιήγησης από προγράμματα περιήγησης ιστού.
wifi: Συλλέγει δεδομένα σε δίκτυα Wi-Fi στα οποία είναι συνδεδεμένη η συσκευή.
cameramodule: Τραβάει φωτογραφίες χρησιμοποιώντας την κάμερα της συσκευής.
FileManage: Διαχειρίζεται και εξάγει αρχεία, ειδικά από εφαρμογές ανταλλαγής μηνυμάτων.
keychain: Ανακτά ευαίσθητες πληροφορίες που είναι αποθηκευμένες στο macOS Keychain.
LanDevices: Συλλέγει πληροφορίες σχετικά με συσκευές στο ίδιο τοπικό δίκτυο.
softlist: Εμφανίζει τις εγκατεστημένες εφαρμογές και τις διαδικασίες που εκτελούνται.
ShellCommand: Εκτελεί shell commands στη μολυσμένη συσκευή.
Χάρη σε όλα αυτά τα plugins, το LightSpy malware μπορεί να κλέψει πολλά διαφορετικά δεδομένα από τα μολυσμένα συστήματα macOS.
Δείτε επίσης: Προληπτική ανίχνευση και αντιμετώπιση κακόβουλου λογισμικού
Προστασία από macOS malware
Η Apple προσφέρει κάποιες ενσωματωμένες δυνατότητες ασφαλείας, όπως το Gatekeeper και το XProtect για την πρόληψη κάποιας μόλυνσης.
Αλλά υπάρχουν και κάποιες άλλες μέθοδοι προστασίας:
- Διατηρήστε το λειτουργικό σας σύστημα και το λογισμικό σας ενημερωμένα για να επιδιορθώσετε τυχόν γνωστά τρωτά σημεία
- Να είστε προσεκτικοί κατά τη λήψη και το άνοιγμα συνημμένων ή αρχείων από άγνωστες πηγές
- Χρησιμοποιήστε ένα αξιόπιστο λογισμικό προστασίας από ιούς, ειδικά εάν κάνετε συχνά λήψη αρχείων από το Διαδίκτυο
- Ενεργοποιήστε το FileVault, το οποίο κρυπτογραφεί τα δεδομένα σας και τα προστατεύει σε περίπτωση κλοπής ή μη εξουσιοδοτημένης πρόσβασης
- Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών αρχείων σας σε έναν εξωτερικό σκληρό δίσκο
Πηγή: www.bleepingcomputer.com
